عنوان الكتاب : الدليل العربي لـ SELinux
عدد الصفحات : 52
رخصة الكتاب : وقف
المؤلف : صبري صالح
الناشر : موقع الحماية العربي
التحميل من : موقع الحماية العربي
التحميل من : 4shared
مقدمة الكاتب :
أبدأ كلامي باسم الله الرحمن الرحيم , هذا الكتاب الأول على المستوى العربي في ما يتعلق بنظام الـ SELINUX , قررت كتابته لإزالة التخوف من الدخول فيه و تعلم هذا النظام القوي و الذي ينير لنا طريق من طرق الحماية الحديثة و أيظا لتبيين قوة نظام GNU Linux عن سائر الأنظمة و للتقليل من المشاكل الأمنية التي تواجه منظماتنا
ملاحظة : افترضت في هذا الكتاب أن القارئ ملم بالتعامل مع النظام و تصاريح الملفات و الخدمات بشكل قوي , كما أنصح القارئ بعدم الاستعجال في القراءة فأي نقطة غامضة سيتم توضيحها في النقاط القادمة لأنه من المستحيل توضيح كل شيء في آن واحد
نبذة عن SELinux :
مع زيادة الحاجة اللى البرامج و الخدمات في الأنظمة ظهرت زيادة ثغرات الأنظمة و التي تتسبب في تصعيد الصلاحيات (escalating privileges) من مستخدم عادي الى المستخدم الجدر أو مستخدمو صلاحيات أعلى , تكون دائما بسبب ثغرة في خدمة أو برنامج أو طريقة تعامل النظام مع شيء معين و تعرف بـ (Remot root / Local root) و يقوم المخترق باستغلال الثغرة عن طريق BuffierOverFlow أو حقن أوامر و غيرها من الطرق و جميعنا يعرف أنه كانت هناك ثغرات خطيرة للـ apache . rsync . curl . BIND . NetworkManager . Netcat و غيرها الكثير
و بناء على ما سبق ذكره , قامت جكومة الولايات المتحدة بإسناد مهمة تطويرية الى وكالة الأمن القومي NSA , لنظام يحتوي قواعد للتعامل مع الملفات و العمليات و طريقة الاتصال في ما بينهم و هذا بناء على أبحاث أثبتت أن أخطر الثغرات تكمن في أن المستخدم العادي يستطيع تخطي حماية النظام الداخلية و كأخطر مثال ما ذكرناه آنفا , أيضا اعطاء التصريح 777 لملفات تنفيذية مهمة و هكذا .
في البداية قامت وكالة الأمن القومية بتطوير نظام اسمه Mach على نظام التشغيل Flask و كان قاعدته مبنية على عزل البرامج/العمليات و الملفات التنفيذية و المستخدمين عن الملفات و عدم السماح للقسم الأول بالتعامل مع القسم الثاني بشكل ارتجالي و تم تسمية فكرة العزل بـ Type Enforcement (TE) و هو الآن متوفر في أغلب/جميع التوزيعات بشكل افتراضي و يعمل على نظام ملفات ext2 . ext3 . ext4 .
هناك مقول مشهورة في عالم اللينوكس تقول : كل شيء يعتبر ملف = Every Thing is a File , حيث الوصول للملف يخظع الى تصاريح تقليدية يتحكم بها المالك سواء كان User أو Group , أما بالنسبة لـ SELinux فالمقولة تصبح : كل شيء يعتبر موضوع = Every Thing is an Object , حيث الوصول للموضوع يخضع الى مجموعة عناصر تخضع تلك العناصر الى قوانين يتم تطويرها باستمرار حيث هذه العناصر تسمى (Security Context) و مجموعة القواعد الموجودة تسمى Policy و هي متجددة أيضا باستمرار
- نبدة عن SELinux
- نظام التصاريح التقليدي DAC
- نظام الـ SELinux – MAC
- ما يستطيع نظام SELinux عمله
- ما لا يستطيع نظام SELinux عمله
- بنية SELinux
- شرح Role و User Identity
- شرح الـ Domain / Type
- شرح الـ Categories / Sensitivities
- طريقة كتابة جمل الحماية Security Context
- ما هية السياسة المناهجية في النظام (SELinux Policy)
- السياسة الموجهة (Targeted Policy)
- السياسات المنطقية (Policy Boolean)
- عرض الـ Security Context
- الأرشفة و ضغط الملفات
- تدريب عملي شامل
- أوضاع الـ SELinux
- التحكم بالـ SELinux
- سياق الملفات (File Context)
- إعادة سياق الملفات (Relabel Files)
- اعادة سياق نظام الملفات (Relabel a Filesystem)
- عمل mount مع الـ SELinux
- الخدمات المحمية بالـ Targeted Policy
- التحكم في حماية الخدمات
- خدمة الأباتشي – Apache
- مجتويات الأباتشي
- اعدادات منطقية للأباتشي
- خدمة أسماء النطاقات DNS
- جمل الحماية و الجمل المنطقية للـ DNS
- خدمات أخرى
- جمل الحماية لخدمات أخرى
- تحديد المشكلة
- التعامل مع السجلات SELinux Auditting
- التعامل مع AVG
- حل المشاكل Troubleshooting
- باب أدوات سياسة الحماية (برامج اضافية)
اللهم إن هذا العمل خالص لوجهك فاغفر لي ولوالدي و المؤمنين يوم يقوم الحساب...
اللهم اغفر لي و ارحمني و اهدني وارزقني يا أرحم الراحمين
آمــيــن
الإبتساماتإخفاء